Федеральная Служба Опасности


Previous Entry Share Next Entry
0-day in GRUB2
manandmoon
malaya_zemlya
Если кто не видел - в популярном загрузчике Grub2 обнаружена уязвимость, позволяющая обходить защиту паролем, и дающая полный доступ к шеллу.

Эксплоит: вместо введения пароля нажать на Backspace ровно 28 раз, а потом Enter

Нет, это не секретный бекдор и не шутка девелоперов. Тут произошло нечто потрясающее. Постараюсь передать вкратце (если кому интересны все детали, то смотрите линк).

Если вместо ввода пароля нажимать на Backspace, то из-за пропущенной проверки программа заезжает за пределы буфера и начинает затирать нулями память с отрицательным смещением. Бывает.
В результате затирается стек, включая адрес возврата из текущей функции. Ок.
Соответственно, процессор прыгает на адрес 0, при чем в регистре esi остается текущая длина пароля, то есть -28.
По адресу 0, как водится, расположена таблица IVT, где лежат адреса обработчиков системных прерываний, но процессор ее сейчас интерпретирует не как адреса, в как исполняемый код. Оказывается, что в такой интерпретации IVT содержит функцию копирования блока памяти, где адрес, куда копировать, берется из регистра edi (он у нас установлен тоже в 0), а адрес откуда - из того самого регистра esi.
Получается, что функция начинает править собственный код и копировать данные из адреса -28 прямо поверх самой себя. Причем в цикле.
На первый раз портятся несколько инструкций в начале, но не критично.
На второй раз добавляются какие-то инструкции, меняющие содержимое стека,
А дальше... дальше появляется инструкция retw. Она берет со стека число и прыгает по обозначенному им адресу. А на стеке в этот момент лежит адрес встроенного шелла.

Занавес.


  • 1
Браво! По-моему машины самоорганизуются )

Edited at 2015-12-16 08:56 pm (UTC)

Да при чём тут машины, линейку к рукам прикладывать надо..

Существует ли язык программирования, пригодный для написания бутлоадеров, в котором подобное было бы невозможно?

Язык тут особо ни при чём, просто никогда нельзя доверять данным, которые вводит пользователь :)

это не язык, эир скорее stdio/stdlib, который вместо чтоб взять std накорябали руками.

Любой высокоуровневый, кроме C/C++. Арифметика указателей — зло.

Это прекрасно!

какой вообще смысл в пароле на загрузчик? взял лайфсиди/флеш/итп, загрузился, подмонтировал, прочитал что надо

BIOS под паролем

>прочитал что надо
... с шифрованного раздела, угу.

Говнокод начинается, когда для автоматического создания файла конфигурации загрузчика изобретают очередной "новый" язык программирования. И все делают вид, что так и надо.А в это время подход к программе меняется. И главным становятся фенечки и автоматика. При этом качество кода упадёт неизбежно. Ну, в таком вот проекте. Который, типа, никому не нужен, кроме создателей ))

Да, этот трюк как раз для хакерских фильмов. :) Напоминает способ, которым Шварц отключил сигнализацию машины в "Близнецах". :)

Дырка, конечно, красивая, но честно говоря, я никогда не пользовался паролем в грубе.
Когда надо защитить машину от несанкционированного физического доступа (например, ноутбук, если он вдруг потеряется или его украдут), я предпочитаю LUKS. Возможно, там тоже есть какие-то дырки, но по-любому, пока не введёшь правильный пароль, который позволит расшифровать ключ, никакого доступа всё равно не получишь.

LUKS, я твой OTETS

  • 1
?

Log in

No account? Create an account